S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 10 octobre 2008
No CERTA-2008-AVI-488 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans Drupal
Tableau 1: Gestion du document
| Référence |
CERTA-2008-AVI-488 |
| Titre |
Multiples
vulnérabilités dans Drupal |
| Date de la première
version |
10 octobre 2008 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité Drupal SA-2008-060 du 08
octobre 2008 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Contournement de la politique de sécurité
;
- atteinte à la confidentialité des
données.
- Drupal versions 5.x
antérieures à 5.11 ;
- Drupal versions 6.x
antérieures à 6.5.
Plusieurs vulnérabilités dans Drupal permettent de contourner la politique de
sécurité et d'accéder à certains
fichiers.
Plusieurs vulnérabilités ont été
découvertes dans Drupal
:
- des utilisateurs non privilégiés peuvent
attacher des fichiers au contenu (Drupal 6.x) ou récupérer des
fichiers attachés au contenu (Drupal 5.x) ;
- un problème dans le module de gestion des
utilisateurs permet de se connecter malgré des
restrictions d'accès ;
- le module BlogAPI ne valide pas correctement
certains champs ;
- une vulnérabilité dans le module node
API permet de contourner la validation de certaines
pages (Drupal 5.x).
Mettre Drupal à jour en
version 5.11 ou 6.5 (cf. section Documentation).
- 10 octobre 2008
- version initiale.
CERTA
2012-01-04
|
)
